Capitolo 9. Servizi e Server
Limitazione suite dei cifrari nella configurazione httpd predefinita
Con questo aggiornamento la configurazione predefinita del modulo mod_ssl nel web server httpd, non abilita più il supporto per le suite di cifrari SSL usando gli algoritmi di crittografia DES, IDEA o SEED.
Abilitata la selezione dei protocolli SSL nel server Cyrus IMAP
Con questo aggiornamento è possibile configurare i protocolli Secure Sockets Layer (SSL) permessi dal server Cyrus IMAP. Per esempio, gli utenti sono in grado di disabilitare i collegamenti SSLv3 mitigando così l'impatto della vulnerabilità POODLE.
Il comando dstat supporta ora i link simbolici
Il comando
dstat
è stato migliorato e supporta ora l'uso dei link simbolici come valori del parametro. Questa impostazione permette agli utenti di specificare dinamicamente il nome del dispositivo d'avvio, assicurando così una corretta visualizzazione delle informazioni da parte di dstat
dopo operazioni hot plug o simili. Specificare i link simbolici nella directory /dev/disk/
e usare il percorso completo.
rng-tools aggiornato alla versione 5
I pacchetti rng-tools usati per le utilità dello spazio utente del random number generator sono stati aggiornati alla versione 5 dell'upstream. Questo aggiornamento abilita il random number generator daemon (rngd) sui modelli di CPU Intel x86- e Intel 64-based EM64T/AMD64 per impostazione predefinita, e sfrutta l'entropia resa disponibile dall'istruzione random number generator hardware RDRAND. L'aggiornamento migliora anche le prestazioni e la sicurezza sull'hardware dell'architettura Intel, in particolare sulle applicazioni del server.
Miglioramenti di nm-connection-editor
MIgliorato nm-connection-editor; ora è più semplice modificare gli indirizzi IP e gli instradamenti. Altresì, nm-connection-editor cerca di rilevare e evidenziare automaticamente gli errori di battitura e le configurazioni errate.
Ypbind può essere impostato ora su intervalli di rebind specifici
Il processo di assegnazione NIS
ypbind
controllava la presenza del NIS più veloce ogni 15 minuti, tuttavia numerosi firewall pesentavano un timeout predefinito di 10 minuti. Questa impostazione causava alcuni errori in ypbind
durante il tentativo di rebind. Questo aggiornamento rende disponibile una opzione -r
per ypbind
la quale permette di impostare intervalli specifici in secondi.
Aggiornamento pacchetti squid
I pacchetti squid sono stati aggiornati alla versione 3.1.23 dell'upstream. Ora sono disponibilili le correzioni e i miglioramenti rispetto alla versione precedente. In particolare è stato aggiunto il supporto per le risposte a squid, HTTP/1.1 POST e PUT, senza il corpo del messaggio.
Dhcpd è ora in grado di gestire il dhcp option 97 - Client Machine Identifier (pxe-client-id)
È ora possibile prenotare (assegnazione statica) gli indirizzi IP per un client particolare in base all'identificatore presente nell'opzione 97; per esempio:
host pixi { option pxe-client-id 0 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff; fixed-address 1.2.3.4; }
La rotazione del file di log Tomcat può essere disabilitata
Per impostazione predefinita, i file di log di Tomcat vengono ruotati con la prima operazione di scrittura che si verifica dopo la mezzanotte, viene altresì fornito il nome del file {prefix}{date}{suffix}, dove il formato per
date
è YYYY-MM-DD (anno-mese-giorno). Per poter disabilitare la rotazione del file di log di Tomcat è stato aggiunto il parametro rotatable
. Se questo parametro è stato impostato su false
, il file di log non verrà ruotato e il nome sarà {prefix}{suffix}. Il valore predefinito è true
.
cups supporta il failover
È possibile ora inviare i lavori ad una stampante singola con failover su altre stampanti, al posto di usare un bilanciamento del carico tra le stampanti in CUPS. I lavori possono essere instradati alla prima stampante di un insieme, quella preferita, con le altre stampanti usate solo in caso di necessità.
openssh supporta la modifica delle interrogazioni LDAP
Gli amministratori possono ora modificare le interrogazioni Lightweight Directory Access Protocol (LDAP) per ottenere le chiavi pubbliche dai server che utilizzano uno schema diverso.
Aggiunta la descrizione ErrorPolicy nella pagina man di cupsd.conf(5)
È stata aggiunta una descrizione alla direttiva ErrorPolicy con i valori supportati nella pagina man di cupsd.conf(5). ErrorPolicy definisce la politica predefinita usata quando un backend non è in grado di inviare le richieste di stampa alla stampante.
Abilitata la selezione dei protocolli SSL in dovecot
Con questo aggiornamento è possibile configurare i protocolli Secure Sockets Layer (SSL) permessi da dovecot. Per esempio, gli utenti sono in grado di disabilitare i collegamenti SSLv3 mitigando così l'impatto della vulnerabilità POODLE. Per motivi di sicurezza, per impostazione predefinita SSLv2 e SSLv3 sono ora disabilitati e possono essere abilitati manualmente in caso di necessità.
openssh supporta le wildcard per l'opzione PermitOpen
L'opzione PermitOpen in sshd_config supporta ora le wildcard.
tomcatjss supporta le versioni di TLS 1.1 e 1.2
Tomcat è stato aggiornato per supportare il protocollo crittografico Transport Layer Security versione 1.1 (TLSv1.1) e versione 1.2 (TLSv1.2) utilizzando il Java Security Services.
squid supporta la possibilità di nascondere o riscriverele intestazioni HTTP
I pacchetti squid presentano ora l'opzione
--enable-http-violations
e permettono all'utente di nascondere o riscrivere le intestazioni HTTP.
Bind supporta ora RPZ-NSIP e RPZ-NSDNAME
Nella configurazione di BIND è possibile ora utilizzare RPZ-NSIP e RPZ-NSDNAME con il Response Policy Zone (RPZ).
openssh supporta l'implementazione dei permessi esatti sui file caricati
Con questo aggiornamento OpenSSH è ora in grado di forzare i permessi esatti sui file appena caricati usando il Secure File Transfer Protocol (SFTP).
Mailman ora include le funzioni migliorate per la mitigazione DMARC
Con questo aggiornamento Mailman introduce alcune funzioni migliorate per la mitigazione Domain-based Message Authentication, Reporting & Conformance (DMARC). Per esempio, Mailman può essere configurato per riconoscere l'allineamento del Mittente per le firme Domain Key Identified Mail (DKIM), ed è ora in grado di gestire correttamente i messaggi inoltrati dai domini con una politica DMARC
reject
.